Chapter 4 / Security

安全
方式设计

安全通过划分保护对象、收紧权限、留存记录而更易整理。应从一开始就纳入设计,而非事后补加。

3 Guidelines

本章涵盖的3个项目

1云安全划分保护对象与对策。
2审计/治理通过规则与记录实现可追溯。
3身份/访问权限仅在必要期间授予必要权限。
安全基本概念图
以机密性、完整性、可用性为意识划分保护对象。
Cloud Security

划分保护对象

从不同视角梳理数据、身份、权限、机密与日志。明确保护对象后更易选择对策。

确认机密性、完整性与可用性。将机密信息存放于安全位置。启用威胁检测与持续诊断。
Identity / Audit

收紧权限,留存记录

身份与权限是安全的入口。以最小权限授予,对重要操作临时提权,并留存操作记录。

合理使用 RBAC 与 PIM。用 Key Vault 管理机密信息。持续检查审计日志与规则。
安全与身份图解
以最小权限守护谁能做什么。
审计与治理图解

审计与治理

用 Policy、RBAC 与审计日志减少危险配置并保持可追溯。

网络防御图解

网络防御

收紧入口、控制通道、分隔内部以防护。